• IT-Karriere:
  • Services:

Microsoft: Googles Project Zero veröffentlicht Windows-Sicherheitslücke

Über eine Sicherheitslücke in der Verschlüsselungsbibliothek Symcrypt lassen sich Windows-Server lahmlegen. Project Zero veröffentlichte die Sicherheitslücke nach 90 Tagen. Patches von Microsoft sollen erst im Juli folgen.

Artikel veröffentlicht am ,
Eine Sicherheitslücke in Symcrypt ermöglicht DoS-Angriffe.
Eine Sicherheitslücke in Symcrypt ermöglicht DoS-Angriffe. (Bild: Gerd Altmann)

Seit über 90 Tagen weiß Microsoft von einer Sicherheitslücke in der Verschlüsselungsbibliothek Symcrypt. Trotzdem wurde die Lücke bisher nicht geschlossen. "Heute ist Tag 91, also ist die Lücke jetzt öffentlich. Ich halte den Schweregrad für relativ niedrig, aber man kann damit relativ einfach eine ganze Windows-Flotte ausschalten. Es lohnt sich also, sich dessen bewusst zu sein", schreibt der Entdecker Tavis Ormandy von Googles Sicherheitsinitiative Project Zero auf Twitter. Nach den Richtlinien des Projekts hat ein Hersteller 90 Tage Zeit, einen Fix bereitzustellen, bevor Informationen zu Sicherheitslücken veröffentlicht werden.

Stellenmarkt
  1. Bremer Spirituosen Contor GmbH, Bremen
  2. Hays AG, Hartenstein

Symcrypt wird von Windows 8 standardmäßig für symmetrische Verschlüsselungsfunktionen verwendet. Seit Oktober 2017 nutzt Windows 10 Symcrypt standardmäßig für alle kryptographischen Funktionen. Mit Hilfe eines präparierten X.509-Zertifikats lässt sich eine endlose Rechenoperation triggern, welche für einen Denial-of-Service-Angriff (DoS) genutzt werden kann.

"Ich habe festgestellt, dass das Einbetten des Zertifikats in eine S/MIME-Nachricht, eine Authenticode-Signatur, eine Schannel-Verbindung usw. jeden Windows-Server (z. B. IPsec [VPN], IIS [nternet Information Services], Exchange usw.) zum Erliegen bringt und (je nach Kontext) das Rebooten der Maschine erfordern kann", schreibt Ormandy in einem Bugreport. Viele Programme, die nicht vertrauenswürdige Inhalte verarbeiten (wie Antivirenprogramme), würden diese Routinen aufrufen - und könnten damit das System zum Stillstand bringen. Neben der Fehlerbeschreibung veröffentlicht Ormandy auch ein Proof-of-Concept-Zertifikat (PoC), mit dem das Problem nachvollzogen werden kann.

Ormandy hatte die Sicherheitslücken bereits im März vor der Open-Source-Veröffentlichung von Symcrypt gemeldet. Der Code der Software steht seit April auf Github. Microsoft will laut Ormandy erst im Juli Patches für die Sicherheitslücken veröffentlichen, da beim Testen Probleme aufgetreten seien.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. ab 2.174€
  3. (u. a. Xbox Series S für 290,99€, Xbox Wireless Controller Carbon Black/Robot White/Shock Blue...

Folgen Sie uns
       


ANC-Kopfhörer im Vergleich

Wir haben Sonys neuen WH-1000XM4 bei der ANC-Leistung gegen Sonys alten WH-1000XM3 und Boses Noise Cancelling Headphones 700 antreten lassen.

ANC-Kopfhörer im Vergleich Video aufrufen
Star Wars: Darth-Vader-Darsteller Dave Prowse ist tot
Star Wars
Darth-Vader-Darsteller Dave Prowse ist tot

Er war einer der großen Stars der originalen Star-Wars-Trilogie und doch kaum jemandem bekannt. David Prowse ist im Alter von 85 Jahren gestorben.
Ein Nachruf von Peter Osteried

  1. Spaceballs Möge der Saft mit euch sein
  2. The Mandalorian Erste Folge der zweiten Staffel ist online
  3. Star Wars Disney und Lego legen Star Wars Holiday Special neu auf

Macbook Air mit Apple Silicon im Test: Das beste Macbook braucht kein Intel
Macbook Air mit Apple Silicon im Test
Das beste Macbook braucht kein Intel

Was passiert, wenn Apple ein altbewährtes Chassis mit einem extrem potenten ARM-Chip verbindet? Es entsteht eines der besten Notebooks.
Ein Test von Oliver Nickel

  1. Apple Macbook Air (2020) im Test Weg mit der defekten Tastatur!
  2. Retina-Display Fleckige Bildschirme auch bei einigen Macbook Air
  3. iFixit Teardown Neue Tastatur macht das Macbook Air dicker

Made in USA: Deutsche Huawei-Gegner schweigen zu Juniper-Hintertüren
Made in USA
Deutsche Huawei-Gegner schweigen zu Juniper-Hintertüren

Zu unbequemen Fragen schweigen die Transatlantiker Manuel Höferlin, Falko Mohrs, Metin Hakverdi, Norbert Röttgen und Friedrich Merz. Das wirkt unredlich.
Eine Recherche von Achim Sawall

  1. Sandworm Hacker nutzen alte Exim-Sicherheitslücke aus

    •  /